（计算机软件与理论专业论文）基于saml和属性证书的单点访问系统的设计与实现.pdf

硕士论文 基于s a m l 和属性证书的单点访旧系统的设计与实现 摘要 随着信息技术和网络技术的发展、各种应用服务的普及，为了提高用户的使 用效率、方便管理员的管理，集成身份认证( s i n g l es i g n o n ，s s o ) 和安全有效 的授权管理需求越来越强烈。 本文研究和分析了现有集成身份认证和授权管理解决方案，找出其中的优势 和不足，并在此基础上设计与实现了一套基于s a m l ( s e c u r i t ya s s e r t i o nm a r k u p l a n g u a g e ) 拳l 属性证书( a t t r i b u t e c e r t i f i c a t e ，a c ) 的单点访问系统( s i n g l e a c c e s s c o n t r o l 。s a c ) 。本系统采用s a m l 的传输机制、认证信息的描述机制，并引入 了属性证书的授权描述机制，有机的结合了s a m l 和属性证书的优点并弥补了 各自的不足。 本系统在实现集成身份认证的同时，将服务授权和资源访问控制从应用中剥 离出来，实现了一套统一用户管理、分级授权机制，提高了管理的方便性，系统 的安全性、灵活性和可扩展性；同时在效率上，也有了一定的提高。 本文用x m l 来实现属性证书，简化了证书生成、验证过程，保证羼陛证书 和s a m l 在处理方式上的一致，简化了系统实现，提高了可靠性、扩展性。并 规范了一套授权信息的描述机制，能实现对自主访问控制( d a c ) 、强制访问控 制( m a c ) 以及基于角色的访问控制( r b a c ) 等授权信息的描述，很好的解决 了和原有系统的兼容。 本文的相关技术已经应用于中科院图书馆分布移动用户使用管理技术平台 研究与建设工程中，并达到了预期的效果。 关键词：安全断言标记语言，属性证书。单点访问，集成身份认证，访问控 制 硕士论文基于s a m l 和属性证书的单点涛问系统的改计与实现 a b s t r a c t w i t ht h ed e v e l o p m e n to fi n f o r m a t i o na n dn e t w o r k t e c h n o l o g y ，a p p l i c a t i o n so f d i f f e r e n tk i n d s a r e g e t t i n gp o p u l a r i z e d f o r t h ee f f i c i e n tu s eo fu s e r sa n dt h ec o n v e n i e n t m a n a g e m e n to f a d m i n i s t r a t o r s ，s i n g l es i g n o n ( s s o ) a n dt h e d e m a n do fs e c u r i t y , e f f i c i e n tm a n a g e m e n to f a u t h o r i z a t i o na r eg e t t i n gm o r ei n t e n s e a tt h er e q u e s tm e n t i o n e da b o v e ，t h i sp a p e rr e s e a r c h e sa n da n a l y s e st h ea d v a n t a g e sa n dt h e d i s a d v a n t a g e so f t h ee x i s t i n gs c h e m e s o f s s o a n d m a n a g e m e n t o f a u t h o r i z a t i o n ，t h e nd e s i g n sa n d r e a l i z e sas i n g l ea c c e s sc o n t r o l ( s a c ) s y s t e mb a s e do nt h es e c u r i t ya s s e r t i o nm a r k u pl a n g u a g e ( s a m l ) a n d a t t r i b u t ec e r t i f i c a t e ( a c ) w i t hf o r m e ra c k n o w l e d g e t h es y s t e ma d o p t st r a n s m i s s i o n m e c h a n i s mo f s a m la n dd e s c r i b e sm e c h a n i s mo f a n t h o r i z a t i o ni n f o r m a t i o ni ns a m l ，a sw e l la s i n t r o d u c t i o no f d e s c r i p t i o nm e c h a n i s mo fa u t h o r i z a t i o nt oa t t r i b u t ec e r t i f i c a t i o n ，w h i c hc o m b i n e s t h ea d v a n t a g eo fs a m l a n da ca n dm a k e s u p e a c hs h o r t a g e t h i ss y s t e mr e a l i z e ss s oa n ds e p a r a t e sa u t h o r i z a t i o na n da c c e s sc o n t r o lf r o ma p p l i c a t i o n i t a l s od e v e l o p st h em e c h a n i s mo fu n i f o r mu s e rm a n a g e m e n t ，g r a d ea u t h o r i z a t i o n i ti m p r o v e st h e c o n v e n i e n c eo fm a n a g e m e n t ，s a f e t y f l e x i b i l i t y a n d e x p a n s i b i l i t y o fs y s t e m ，l i k e w i s et h e i m p r o v e m e n to f e f f i c i e n c y t h i s p a p e r r e a l i z e sa t t r i b u t ec e r t i f i c a t i o nw i t hx m lt o p r e d i g e s t t h e g e n e r a t i o n o f c e r t i f i c a t i o na n dp r o c e s so fv a l i d a t i o n ，t og u a r a n t e et h eu n i f o r mo fa t t r i b u t ec e r t i f i c a t i o na n d s a m li nd i s p o s a lw a y s ，t os i m p l i f yt h er e a l i z a t i o no fs y s t e ma n dt oi m p r o v et h er e l i a b i l i t ya n d e x p a n s i b i l i t y i ta l s of r a m e sad e s c r i p t i o nm e c h a n i s mo fa u t h o r i z a t i o ni n f o r m a t i o n ，w h i c hc a n d e s c r i b ed a c ，d m ca n dr b a c a sw e l la st h ec o m p a t i b i l i t yw i t hi n h e r es y s t e m i ti sp r o v e dt h a tr e l a t i v et e c h n o l o g yi nt h i sa r t i c l ei sf e a s i b l ea n de f f i c i e n ti nt h e a p p l i c a t i o n a n d a d m i n i s t r a t i o nt e c h n o l o g i c a lp l a 0 c o r mo f d i s t r i b u t e d m o b i l eu s e r s i nt h el i b r a r yo f c a s ， k e y w o r d s ：s a m l ，a t t r i b u t ec e r t i f i c a t e ，s i n g l ea c c e s sc o n t r o l ，s i n g l es i g n o n ，a c c e s s c o n t r o l y6 2 4 8 6 声明 本学位论文是我在导师的指导下取得的研究成果，尽我所知，在 本学位论文中，除了加以标注和致谢的部分外，不包含其他人已经发 表或公布过的研究成果，也不包含我为获得任何教育机构的学位或学 历而使用过的材料。与我一同工作的同事对本学位论文做出的贡献均 已在论文中作了明确的说明。 研究生签名：2 朋弘年月矛日 学位论文使用授权声明 南京理工大学有权保存本学位论文的电子和纸质文档，可以借阅 或上网公布本学位论文的全部或部分内容，可以向有关部门或机构送 交并授权其保存、借阅或上网公布本学位论文的全部或部分内容。对 于保密论文，按保密的有关规定和程序处理。 研矬名：罐 砌辉协日 硕士论文 基于s a m l 和属性证书的单点访问系统的设计与实现 绪论 1 1 论文背景 1 1 1课题来源 本课题来源于中科院图书馆分布移动用户使用管理技术平台研究与建设 工程实际项目。中科院情报中心和中科院下属各个研究所建设和购买了大量分 布数字化信息资源。为了资源的合理利用，避免重复建设和购买，要求这些资 源能够在全院范围内共享使用。其中很多资源由于版权限制、费用约束或者管 理要求，资源拥有者不愿意放弃对资源的控制，所以需要对用户进行身份认证 和使用授权后，才允许其使用这些特定资源。 目前，普遍的使用控制方法是i p 地址过滤和通行词控制，前者限制了用户 的物理使用范围，不支持在i p 地址外的用户和移动用户：后者则存在较大安全 隐患。对用户而言，如果每天需要登录到许多不同的应用服务，每个系统都要 求用户遵循一定的安全策略，比如要求输入用户i d 和口令，这样在使用上有着 很大的不便，而且通行词被非法截获和破坏的可能性也增加，安全性不商。同 时如果用户忘记了口令，不能执行任务，就需要请求管理员的帮助，并只能在 重新获得口令之前等待，造成了系统和安全管理资源的开销，降低了效率。 为了解决上述问题，需要建立如下一个系统： 对用户而言，能够在自己需要的时间、地点用统一的身份认证与授权方式 方便地使用自己可以合法使用的任何资源。 对资源拥有者而言，必须对资源进行有效的访问控制以保护自身的利益， 同时要建立方便灵活的管理机制，支持对多种分布的资源的方便授权。 对资源而言，必须支持和现有资源的自主、异构控制机制的无缝链接。在 新产品或应用的开发过程中，能简化用户管理以及授权访问控制模块的开发工 作，定义统一的接口标准，方便产品和服务快速地整合使用。 1 1 2 国内外研究现状 本文主要解决的问题是在统一身份认证的基础上，实现对现有资源的无缝 整合，进而达到集成的授权控制与管理。并保证该方案的安全性。这个问题归 结为对多种资源实现统一身份认证和授权管理的问题，即单点访问系统( s i n g l e a c c e s sc o n t r o l ，s a c ) 。 s a c 是指网络用户可以基于最初访问网络时的一次身份验证，对所有被授 权的网络资源进行无缝的访问，从而提高其工作效率，降低网络操作的费用， 硕卜论文基于s a m l 和属性l j 书的单点访问系统的设计与实现 并提高网络的安全性。这是一个为了能够在分布式计算机环境中，安全和方便 的鉴别用户并且对用户进行相应的访问控制而产生的新课题。 e v i d i a n 公司的a c c e s s m a s t e r ，英国高等教育组织之间的a t h e n s i 引，e n t r u s t 公司的g e t a c c e s s 【j j ，n e t e g r i t y 的s i t e m i n d e r l 4 1 等系统主要解决的是单点登录 ( s s o ) ，其中的授权还是分布在各个站点中。 2 0 0 0 年1 1 月，国际标准化组织o a s i s 的安全服务协会( s e c u r i t ys e r v i c e t e c h n o l o g yc o m m i t t e e ，s s t c ) 提出了安全声明标记语言( s e c u r i t ya s s e r t i o n m a r k u pl a n g u a g e ，s a m l ) 参考标准。 提供标准的安全信息描述和共享机制， 息。 其主要的设计目的是为认证和授权服务 使得不同企业间可以共享有关用户的信 目前关于p m i 的研究方兴未艾。2 0 0 1 年国际电联电信委员会( i t u t ) 发布了 x 5 0 9 v 4 ，它是第一个完整的规定p m i 证书的版本，它在定义公钥证书的基础 上，同时也定义了属性证书的框架。该框架对发放证书以及证书注销等各个方 面所应用的数据对象进行了详尽说明。属性证书框架定义了p m i 所必需包含的 部分，但却没有定义整个p m i 体系，该规范提供了整个p m i 及其具体应用的基 础。它的推出进一步推动了该技术的发展。国际上的一些组织也正在努力完善 这一体系，如欧洲委员会( e c ) 实施的权限和角色管理基础设施标准验证项目 ( p e r m i s ) ，主要解决的问题是如何构建一个基于角色权限管理基础设施。在我 国，公安部的“金盾工程”就是建立在p k i 和p m i 之上的。 1 1 3研究意义 随着信息技术和网络技术的发展，各种应用服务的不断普及，用户使用的 系统越来越多。用户必须牢记各个系统的登录信息，给用户带来很大的麻烦， 这样用户一般会简化密码，或者在多个系统中使用相同的口令，或者创建一个 口令“列表”这些都是会危及公司信息保密性的几种习惯性做法。 为了降低这些安全风险，管理员必须增加一些新的安全措施，而这些措施 减少了系统的可用性，增大了系统管理的复杂度。 因此，在市场上提出了这样的需求：网络用户可以基于最初访问网络时的 一次身份验证，对所有被授权的网络资源进行无缝的访问，从而提高网络用户 的工作效率，降低网络操作的费用。并提高网络的安全性。 另一方面，在现有系统中，权限管理混乱，不同的系统采用不同的权限管 理策略。系统管理员的负担过重，容易造成管理方面的漏洞。这样又有了建立 一个便利的、安全的统一授权的需求。 而单点登录技术和授权两者是相辅相成的，彼此有很大的联系。把这两方 硕匕论文 基于s a m l 和属性证书的单点访问系统的设计与实现 面联合考虑，有着巨大的意义，随着s a m l ，p m i 等技术规范的制订，各种标 准的完善，将会产生可观的经济效益。作为我们正在进行的中科院数字图书馆 分布移动用户使用管理技术平台研究与建设是该项技术在数字图书馆领域 的尝试，为将来各领域的分布资源的协同工作打下基础。 1 2研究内容及主要工作 没有身份认证的访问授权是不安全的，没有访问授权的身份认证是没有意 义的。本文主要基于这两点的不易分离性，把单点登录( s i n g l es i g n o n ，s s o ) 和访问授权技术联合考虑，并根据中科院图书馆分布移动用户使用管理技术 平台研究与建设项目的实际需求，建立一个的统一安全管理和使用平台 单点访问( s a c ) 系统。 本文的研究内容和主要工作包括以下方面： s s o 和访问授权技术的分析总结。通过分析总结s a c 系统的需求特点 找出其技术特征和必须的背景知识，为实现整个系统打下基础。 对比现有的解决方案，分析各自的优势和不足，并在此基础上提出一个 针对科图但不仅限于科图的解决方案。 在这里着重考虑安全性、实用性、可扩展性以及效率等方面。 用安全断言标记语言( s e c u r i t y a s s e r t i o n sm a r k u p l a n g u a g e ，s a m l ) 对 认证信息的传递，摒弃s a m l 原有的直接传递授权断言机制，引入了 属性证书的概念，利用属性证书描述用户的授权信息。 实现这个系统。 这个系统选用j a v a 语言，基于j 2 e e 构架。主要概括如下： 参照o p e n s a m l ，实现一个适合本系统的s a m l 引擎。 考虑到可扩展性以及证书领域的发展趋势【川，按照属性证书规范设 计实现一个基于x m l 的属性证书( x m lb a s e da t t r i b u t ec e r t i f i c a t e s ， x a c ) 管理引擎。 在上面两个支撑模块的基础上实现一个管理和使用平台。 总结s a c 系统运用方式。重点说明在数字图书馆领域的运用前景。分 析本解决方案的优势和不足，以及下一步需要解决的问题。 1 3论文的内容 本文首先介绍相关的技术背景，然后分析对比现有的解决方案。在此基 础上提出本系统的设计思想，再由设计思想导出系统的组织结构，接着说 明关键技术和实现机制。根据这个思路，本文组织如下： 硕士论文基于s a m l 和属性证书的单点访问系统的设计与实现 第一章 第二章 第三章 第四章 第五章 绪论。主要介绍课题背景，国内外研究现状以及论文的目标 和内容。 背景。主要包括两方面内容：一、相关技术的介绍。详细介 绍单点登录( s s 0 ) 、安全断言标记语言( s a m l ) 、属性证 书( a c ) 以及x m l 安全技术，同时介绍本系统中用到的w e b 服务、r b a c 授权模式等技术。二、现有解决方案的分析研 究。对比研究了几种典型的单点登录授权解决方案： k e r b e r o s 、l i b e r t ya l l i a n c e 以及基于p k i p m i 的双证书模型。 系统的设计。在第二章的对现有解决方案的研究分析基础上 提出自己的解决方案。并对其中各个关键点进行详细的论述。 提出对各个模块的设计，并讨论这个解决方案的优势。这是 本文的重点。 系统实现。详细介绍各个模块的实现方式。并给出应用实例。 总结与展望。 硕t ：论3 z 摧于s a m l 和属性证* 的单点访问系统的设计畸实现 2 集成身份认证和授权管理技术概况 2 1 相关技术综述 2 1 1 统一身份认证( s i n g l es i g n o n ) s s o 就是网络用户可以基于最初访问网络时的一次身份验证，对所有被授 权的网络资源进行无缝的访问。从而提高网络用户的工作效率，降低网络操作 的费用，并提高网络的安全性吼 下面介绍一些关于实现单点登录的不同方法和可能【8 】： 1 、b r o k e r b a s e ds s o 的方案 在基于经纪人的s s o 解决方案中，有一个集中的认证和用户账号管理的服 务器经纪人，它能被用于进一步请求的电子身份存取。在这个方案中，中 央数据库的使用减少了管理的代价，并为认证提供了一个公共和独立的“第三 方”。 该方案的典型的应用是k e r b e r o s 。k e r b e r o sv 5 是业界的标准网络身份验证 协议，该协议是在麻省理工学院起草的旨在给计算机网络提供“身份验证”。 k e r b e r o s 协议的基础是基于信任第三方经纪人集中地进行用户认证和发放 电子身份凭证，它提供了在开放型网络中进行身份认证的方法，其认证实体可 以是用户或用户服务。这种认证不依赖宿主机的操作系统或主机的i p 地址，不 需要保证网络上所有主机的物理安全性，并且假定数据包在传输中可被随机窃 取篡改。本文在2 2 2 中将对k e r b e r o s 作详细介绍。 2 、a g e n t b a s e ds s o 方案 在基于代理人的解决方案中有一个自动地为不同的应用程序认证用户身 份的代理程序。这个代理程序需要设计有不同的功能。比如，它可以使用口令 表或加密密钥来自动地将认证的负担从用户移开。代理人能也被放在服务器上 面，在服务器的认证系统和客户端认证方法之间充当一个“翻译”。一个基于 代理人的解决方案的例子是s s h 。s s h 的英文全称是s e c u r es h e l l 。通过使用 s s h ，你可以把所有传输的数据进行加密，这样就能够防止d n s 和i p 欺骗。 这是一个为在网上进行安全链接的客户n 务器类型加密软件，实现了一个密钥 交换协议，以及主机及客户端认证协议。 3 、t o k e n b a s e ds s o 的方案 当前被广泛使用的口令认证比如f t p ，邮件服务器的登陆认证，都可被 称为“s i n g l e f a c t o r ”1 3 令的认证。这是一种简单易用的方式，同时也是一种会 硕十论文 基于s a m l 和属性证书的单点访问系统的设计与实现 带来很多安全隐患的方式。比如：易于猜测，很少进行更换，一个口令在多种 应用中使用等会危及安全的习惯。再如，在明文传输的网络环境里，经常使用 并很少更换的口令，更易于被窃取和造成危害。 r s a 公司提出的一种称为s e c u r i d 的解决方案。与“s i n g l e f a c t o r ”不同是 它被称之为“t w o f a c t o r ”( 双因素) 的认证。构成认证的第一个因素是p e r s o n n e l i d e n t i f i c a t i o n n u m b e r ( p i n ) ，即用户身份识别码，这是一串保密的数字，可由系 统管理员订制。第二个因素是s e c u r l dt o k e n ，一个小型的数字发生器，这个发 生器的时钟将与网络环境中提供身份鉴别的服务器( a c e ) 保持同步，并且与 a c e 上的用户数据库保持映射。数字发生器每隔一段时间( 比如一分钟) 产生 新的数字，p i n + 同步时钟数字就是用户的登录代码。 解决方案中也有种被称为w e b i d 的模块。在w e b 服务器上安装一个a c e 服务器的代理程序，用来接受s e c u r l d 。当访问第一个需要认证的u r l 时 w e b i d 软件会产生并加密一个标识，这个标识将在访问其他资源时被用到。 4 、a g e n ta n db r o k e r - b a s e ds s 0 解决方案 当a g e n t b a s e 的解决方案和b r o k e r - b a s e 的解决方案被结合后，既有了前者 的灵活性又有了后者的中央式管理的优势。a g e n t b a s e 的好处还在于减少了改 变网络应用程序的代价。这样，与k e r b e r o s 相比，就不需要“k e r b e r i z e ”化的 应用程序。 5 、g a t e w a y b a s e ds s o 解决方案 在b r o k e r b a s e d 的方案中，会在网络中放置一个“看门狗”的模型。而 g a t e w a y b a s e d 则是另一种单点登录的方法，具体的做法是提供类似“门”一样 的网关用以安全的接入到可信的网络服务。网关可以是防火墙，或者是专门用 于通讯加密的服务器。图2 1 1 是解决方案的一个模型。 图2 1 1g a t e w a y - b a s e d $ s 0 解决方案示意图 硕士论文基于s a m l 和属性证书的单点访问系统的设计与实现 在这种方案中，所有的响应服务都需要放在被网关隔离的受信网段里， c l i e n t 通过网关进行认证后获得接受服务的授权。如果在网关后的服务能够通 过i p 地址进行识别，并在网关上建立一个基于i p 的规则，同时这个规则如果 与在网关上的用户数据库相结合，网关就可以被用于单点登录。网关将记录 c l i e n t 的身份，不再需要冗余的认证请求，便可授权所要求的服务。由于网关 可以监视并改变应用服务的数据流，所以在不修改应用服务的同时，改变认证 信息，并能提供合适的访问控制。 2 1 2s a m l s a m l 是一种基于x m l 丌发的用来在互联网上交换安全信息的框架。 s a m l 规范是由o a s i s ( o r g a n i z a t i o n f o rt h ea d v a n c e m e n to fs t r u c t u r e d i n f o r m a t i o ns t a n d a r d s ) 在s 2 m l 和a u t h m l 规范的基础上提出的，并得到了 s u n 、i b m 、微软、n o v e l l 、n e t e g r i t y 、r s a 等公司的支持7 j 。 s a m l 可以实现不同的安全服务系统之间的互操作性，它提供了一种机制 使得可以在不同的安全服务系统之间交换认证和授权信息。但它本身并不定义 新的认证与授权机制，它只是定义了用于安全服务之间传输安全信息的交换机 制。 s a m l 规范包括i ”1 ： 1 s a m l 声明和协议( a s s e r t i o n sa n dp r o t o c 0 1 ) 定义了s a m l 认证、属性、 授权的请求、应答消息格式。 2 s a m l 绑定和说明( b i n d i n g s a n dp r o f i l e s ) 。描述了传输时s a m l 声明 及其回应消息如何与具体协议绑定，以及s a m l 实现w e bs s o 的两种 方式及消息传输过程。 3 s a m l 的安全考虑( s e c u r i t yc o n s i d e r a t i o n s ) 。从信息安全的角度描述 了保证s a m l 声明秘密性、完整性和真实性的相应策略。 4 s a m l 一致性编程说明( c o n f o r m a n c ep r o g r a ms p e c i f i c a t i o n ) 。描述了 基于s a m l 系统的相关编程和技术要求。 s a m l 将传输的安全信息定义为相应的声明。声明用x m l 语言来描述，以 r e q u e s t r e s p o n s e 的形式在多个信任合作者之间传送。 s a m l 作为一种基于x m l 的安全信息交换、共享语言。有如下特点： 1 支持s s o 。通过s a m l ，用户在进行多个b 2 c 业务的时候，用户只需 要登录一次，s a m l 声明将会在信任域中自动转发，用户不需要在以后 使用这些资源的时候多次输入用户名、密码等登录信息。 2 灵活性。s a m l 支持扩展机制，允许开发者对其中的一些元素进行扩展 硕 论立拱于s a m l 和属性证* 的单点防问系统的设计与实现 和选择。s a m l 未定义新的认证技术，而是在现有传输、认证、安全技 术的基础上，为开发者提供一个与平台无关的安全服务框架。 3 互操作性。s a m l 对用户端没有特殊的要求，用户可以通过浏览器向服 务器发送请求，无需安装专门的客户端软件。s a m l 声明可以直接嵌入 s o a p 消息头中并通过s o a po v e rh t t p 传输，能够穿过企业防火墙， 从而提供更好的互操作性。 s a m l 有认证声明、属性声明、授权声明【1 3 】。每个声明都包含v e r s i o n 、 a s s e r t i o n l d 、i s s u e r 、i s s u e i n s t a n t 。声明中的 元素用来描述声明的有 效时间、接受者。 元素包台 和 ，分别用来描述认证对象的相关的信息和描述认证方 式、认证时间、i p 地址等内容。 记录了授权 的依据、权限等信息。以下是a u t h e n t i c a t i o n 声明的例子： s a m l ：a u t h e n t i c a t i o n s t a t e m e n t a u t h e m i c a t i o n m e t h o d = ”p a s s w o r d ” a u t h e n t i c a t i o n l n s t a n t = ”2 0 0 4 - 1 - 2 t 1 ：0 0 ：0 0 2 1 3属性证书( a c ) 公钥证书( p u b l i ck e yc e r t i f i c a t e s ， 绑定在一起，用以认证持有者的身份。 p k c ) 是将证书持有者的名字与其公钥 而属性证书( a t t r i b u t ec e r t i f i c a t e ，a c ) 硕士论文 基于s a m l 和属性证书的单点访问系统的设计与实现 将持有者的名字和一系列“属性”绑定在一起，这些属性用来表征证书持有者 属于哪个用户组，属于什么角色，他持有什么样的安全许可，或者其他的某些 授权信息。由于目前a c 尚未大量部署，所以其标准化和发展方向都还处于讨 论中。 p k c 和a c 都利用数字签名传递来自“颁发者”与“证书”之间的信任关 系。但是，在a c 中通常并不包含公钥，而只是简单地引用拥有者的身份信息。 给定一个用户，不同的a a 都可以为其颁发a c ，这只是表示该用户同时归属于 这些管理域。 i s o i e c9 5 9 4 8 ( i t u tx 5 0 9 ) 提出了在a c 的基础上构建的特权管理基础 设施( p r i v i l e g em a n a g e m e n ti n f r a s t r u c t u r e ，p m i ) ，比较p k i 和p m i 如下【1 6 表2 1 2p k i p m i 对照表 概念p p m i 证书p u b l i c k e y c e r t i f i c a t e ，a t t r i b u t ec e r t i f i e a t e ，a c p k c 证书颁发者 c e r t i f i c a t i o n a u t h o r i t y ， a t t r i b u t ea u t h o r i t y ，a a c a 证书使用者s u b j e c t h o l d e r 证书绑定s u b j e c t 和公钥h o l d e r 和其的授权属性 撤销 c e r t i f i c a t er e v o c a t i o na t t r i b u t ec e r t i f i c a t e l i s t ，c r l r e v o c a t i o n ，l i s t ，a c r l 根信任机构根c a 或t r u s t a n c h o r s o u r c eo f a u t h o r i t y ， s o a 次级机构次级c a a t t r i b u t ea u t h o r i t y 一个表达授权意义的属性可以包含在p k c 的扩展段中，也可以单独的放在 一个a c 中。如果一个证书既要代表身份认证，又要处理属性认证，或者身份 和属性证书的有效期大致相同，或者不允许授权代理的时候，可以采用前者。 这有如下优点： 可以与现行认证系统互操作； 简化了认证路径处理，因为单个信任路径既表达了认证又代表了授权； 在发布授权的时候，涉及的实体和事务相对较少。 很明显，这种模式要求c a 也必须了解角色、特权等授权的意义，并且在 此种模式下，p k c 和a c 的有效期应相同。然而在一般情况下，属性信息的变 动频率大大高于身份信息，也就是说，p k c 和a c 的有效期一般都是不一样的， 这样只能缩短p k c 的有效期，否则必须维护一个巨大的撤销链表。另一方面， 颂士论文 基于s a m l 和属性证书的单点访问系统的设计与实现 权威机构c a 中心一般并不知道证书拥有者的属性授权信息，如果使用这种模 式，只有加大c a 中心的功能，或者发放证书的时候增加一个步骤去授权 方获取授权信息。 基于以上原因，通常将表达授权的属性从p k c 中分离出来，使用一个单独 的a c 。这样有如下优点： 将授权和认证各自分离开来，c a 负责认证，而a a 负责授权。 使得属性证书a c 可以随时更新，以反映随时变化的授权状态，而不必 被绑定到p k c 较长的有效期上。 属性证书的有效期往往非常短，甚至可以不使用吊销列表，避免了类似 p k c 撤销列表的很多缺点。 2 1 4x m l 安全 随着贸易的全球化和电子化，在网上建立企业和企业之间，以及个人和企业 之间的商务已是互连网应用的一个焦点。x m l 由于其自身的优点( 基于元素的 概念，可扩展性，显示与内容分离以及可表示复杂的结构等) 而逐渐成为一种通 用的商务语言。随之而来的x m l 的安全问题也越来越被重视。x m l 安全技术包 括x m l 数字签名【1 0 l 技术和x m l 加密技术 x m l 加密技术保h 正t x m l 数据的机 密性x m l 数字签名技术保证了数据的完整性、确认性和不可否认性。x m l 签 名和加密分别在2 0 0 2 年2 月1 2 同平d 2 0 0 2 年1 1 月1 0 日成为w 3 c 的推荐标准。 2 1 4 1x m l 签名 x m l 数字签名为数据提供数据完整性、消息确认和不可否认性。消息的签 名结果以及签名信息以x m l 元素的形式存放在文档中，被称为签名元素 1 0 1 。 下面给出一个x m l 数字签名的非正式表示： si 睇n l t i ”) ，包齿鲁名的相* 舯所有情息蛐蕾当舯鼍i b 疆力嘁舶鼻仕稚 ( c a n ( ：m i c 巩l z hli m m ”t h o d ) ( si g n a l u r “e t h o d ) ( e n c y p t i o n h e t h o d ) ? e n e r ，p t e d l k e y ) ? ? c i p h e r r e f e r e n c et l r i - ， ? ，e n t r y p t e d o a t a ) 琏：，裹示蜘囊。教蠢一次；+ 亵示珊嚣1 凌囊多攫 。蠹承瑚囊任意多凌；焉曩，| 姑啊性文事 元素e n c r y p t e d d a t a 标识了整个x m l 加密，其三个子元素为：加密算法元 ( e n c r y p t i o n m e t h o d ) 、密钥信息元素( k e y l n f o ) 密文数据元素( c i p h e r d a t a ) 。 加密后数据有两种方式存放在密文数据元素( c i p h e r d a t a ) 中，如果是封装方式， 则密文数据直接包含在其c i p h e r v a l u e 元素中；如果是引用方式，则c i p h e r d a t a 的子元素c i p h e r r e f e r e n c e 描述了密文数据的存放位置。 2 1 5 其他相关技术 2 1 5 1r b a c 授权模型 基于角色的访问控制( r o l e b a s e d a c c e s s c o n t r o l ，r b a c ) 是目前流行的先 进的安全管理控制方法。所谓角色是指拥有一个权限和责任集的特定标识。基 于角色的访问控制在用户和用户访问的资源之间加入了角色。把对资源的使用 硕，l 二论文 基于s a m l 和属性证书的单点访问系统的设计与实现 权赋给角色，然后让用户属于某一角色从而使用户具有角色的权限。这样， 整个访问控制过程就分为两个部分，即首先访问权限与角色相关联，然后角色 再与用户关联，从而实现了用户与访问权限的逻辑分离。在r b a c 中还可以包 括角色层次和角色约束等机制。 r b a c 带来的优点：使权限管理更简单、更容易维护，更适合网络系统和 大型m i s 系统的使用。 使用r b a c 其优势主要包括：便于实现授权管理和角色划分，便于赋予最 小特权、职责分担以及目标分级等控制功能。 当然r b a c 也有其缺点，如功能分配粒度不够细，授权不够灵活，没有逆 向权限( 不能知道某一权限都被赋予给谁) ，不能动态分配权限等。 2 1 5 2w e b 服务 w e bs e r v i c e s 的基本思想是把软件当作一种服务。目前对于w e bs e r v i c e s 并 没有一种严格的定义，i b m 认为w e bs e r v i c e s 是能够被描述、发布、定位和通 过网络调用的自包含的模块化的应用i l 矾。m i c r o s o f t 认为w e bs e r v i c e s 是一个通 过标准协议访问的可编程的应用逻辑i l ”。一般认为，w e bs e r v i c e s 是通过w e b 调用的应用逻辑或功能，具有自包含( s e l f - c o n t a i n e d ) 、自描述( s e l f - d e s c r i b i n g ) v a 及模块化的特点，可以通过w e b 发布、查找和调用。 它具有以下的特点： ， 普遍性：利用i n t e r a c t 标准协议和x m l 数据格式。任何支持这些技术 的设备都可以调用和访问w e bs e r v i c e s ； 可以和其它服务组合在一起形成新的服务： 互操作性：任何的w e b 服务都可以与其他w e b 服务进行交互； 行业支持：所有主要的供应商都支持s o a p 和w e bs e r v i c e s ，如m i c r o s o f t 的n e t 就是基于w e b 服务的。 2 2现有解决方案分析 2 2 1k e r b e r o s k e r b e r o s 协议来源于m i t ( 麻省理工学院) 的a t h e n a ( 雅典娜) 项目。他主 要建立在n e e 曲锄和s c h r o e d e r 的可信任第三方认证协议嘲以及d e n n i n gj f i s a c c o 修改建议之上。是一个位于开放式互联网络之上对需要网络服务的实体进行身 份认证的重要实用身份认证协议。它的最大好处是通过对实体和服务的统一管理 实现单一注册，也就是说用户通过在网络中的一个地方的一次登录就可以使用网 倾 二论文 基于s a m l 和属性证书的单点访问系统的设计与实现 络上他可以获得的所有资源。该协议利用传统密码学中的麸享密钥技术( v 4 之 前版本使用d e s 算法，v 5 使3 d e s 算法增强安全性) 与网络上的每个实体和服务 分别共享一个不同的秘密密钥，利用这些密钥来进行身份认证。微软的p